客戶需求

該銀行需要在其採用靜態密碼驗證的網路及安全裝置、×××、堡壘機等業務系統，解決安全隱患及帳號共享問題，同時存在網路裝置不可細粒度授權使用者、變更操作的不可追溯性的困擾。基於現狀，增強帳號的安全性迫在眉睫。希望通過部署網路AAA認證伺服器，實現網路裝置管理使用者的統一身份認證，對其提出的認證請求、授權請求、審計請求做出響應。期望實現如下目標：

 增加密碼安全----加強網路裝置密碼強度，提供網路裝置登入安全；

 滿足國家等保要求---所有賬號實現靜態密碼+動態密碼通過RADIUS認證協議實現雙因素認證登入保護；

 分級授權---對不同賬號、不同級別的使用者設定不通的操作許可權；

 操作審計---有效控制賬號洩漏及共享，使登入及操作可以實名追溯；

 管理收益---提升日常運維管理工作水平，保證自身的資訊資產在一個合理而完整的框架下得到妥善保護，實現風險管理，在發生安全事件時，確保資訊環境有序穩定地運作，將損失降到最低。

方案概述

1、 Windows伺服器動態密碼登入加固方案：

寧盾網路裝置AAA管理伺服器（以下簡稱DKEY AM）藉助寧盾自研的認證外掛，可以保護Windows伺服器的本地登入、遠端桌面登入的雙因素認證。

2、 Linux伺服器動態密碼登入加固方案：

寧盾DKEY AM可以保護 Linux、Unix(AIX、HP-UNIX、Saloris)、BSD 等系統（統稱類 Unix 系統）的系統本地登入、SSH 遠端登入等支援 PAM 的場景，該方案可即插即用，並能夠無縫相容原有證書體系，可支援跳板機和直接對。

3、 網路裝置WEB頁面登入的動態密碼登入加固方案：

通過網路裝置自帶的radius認證介面，實現此類裝置WEB頁面登入的動態密碼登入加固。

下面以迪普防火牆的使用者登入為例，在 Password 輸入靜態密碼+動態密碼組合。

4、 網路裝置AAA認證及動態密碼加固方案：

支援不同品牌交換機、路由器、防火牆等主流網路裝置，幫助其實現網路裝置賬號統一AAA認證授權審計、動態密碼安全加固。

網路拓撲

專案成效

通過部署寧盾一體化身份管理之後，到達的最終效果如下：

 所有網路裝置、重要伺服器，每個操作和運維人員都使用獨立的帳號，並且所有裝置都使用同一個帳號；

 提升伺服器訪問、堡壘機、安全裝置WEB登入安全性，實現對其訪問的認證集中審計；

 實現對網路裝置細粒度的認證、授權、審計；

 減少伺服器密碼管理成本；

 對原有的固定密碼增加動態密碼，使帳號得到雙重保護。

專案中主要產品

寧盾DKEY AM、華為交換機、華為路由器、華三交換機、華三路由器、思科交換機、思科路由器、思科防護牆、Windows伺服器、Linux伺服器、堡壘機、迪普防火牆、啟明星辰IPS、啟明星辰防火牆等等。

轉載於:https://blog.51cto.com/nington2009/2389163